- دراسة أعدتها شركة “بوزيتف تكنولوجيز” تشير إلى أن المجموعة قد استهدفت ما لا يقل عن 16 شركة روسية خلال العام الماضي
سجل “مركز خبراء الأمن” التابع لشركة “بوزيتف تكنولوجيز” (PT ESC) موجة جديدة من الهجمات السيبرانية التي شنتها مجموعة القرصنة الخبيثة التي تعرف باسم “قراصنة الفضاء”[1]. وقد قامت هذه المجموعة التي تعرف بأنشطتها الخبيثة الواسعة، بتطوير أدوات جديدة، وزادت من محاولاتها لمهاجمة هيئات القطاع العام وصناعات الطيران والفضاء والمؤسسات التعليمية في روسيا.
وأشار “مركز خبراء الأمن” أن مجموعة “قراصنة الفضاء” قد نجحت باستهداف ما لا يقل عن 16 شركة في روسيا خلال عام 2022. وتمثلت الأهداف الرئيسية للمجرمين في عمليات التجسس وسرقة المعلومات السرية. وقد وسعت المجموعة من نطاق اهتمامها لتشمل أهدافاً أخرى، حيث شملت مجموعة الضحايا الجدد العديد من الهيئات الحكومية والمؤسسات التعليمية والشركات العاملة في قطاعات حيوية مثل الأمن والطيران والفضاء والشركات الزراعية والعسكرية و الوقود والطاقة، فضلاً عن الشركات العاملة في صناعة أمن المعلومات. كما سجل المركز تعرّض إحدى الوزارات في جمهورية صربيا لهجوم من قبل هذه المجموعة.
وفي هذا السياق، قال دينيس كوفشينوف، رئيس قسم تحليل التهديدات في مركز خبراء الأمن التابع لشركة “بوزيتف تكنولوجيز”: “لاحظنا خلال تحقيقاتنا في الهجمات السيبرانية العام الماضي أنشطة خبيثة مرتبطة بمجموعة “قراصنة الفضاء”، ووجدنا أن تكتيكات المجموعة لم تتغير كثيراً، ولكنها نجحت في تطوير أدوات جديدة تستخدم تقنيات غير تقليدية (مثل تقنية Voidoor) بالإضافة إلى أدوات قديمة مطورة. كما لاحظنا وجود ماسح ضوئي من فئة (Acunetix) على أحد خوادم C2 التابعة للمجموعة، الأمر الذي يشير إلى ناقلات هجوم محتملة من خلال استغلال الثغرات الأمنية لم نشاهدها من قبل. لذا ننصح باتخاذ تدابير استباقية مثل استخدام أجهزة تحليل حركة مرور البيانات وصناديق الحماية لتحديد البرمجيات الضارة المعقدة، وذلك لحماية الشركات من التهديدات التي تمثلها هذه المجموعة”.
ومن الجدير بالذكر أنّ “بوزيتف تكنولوجيز” قد سجلت لأول مرة الأنشطة الخبيثة لمجموعة “قراصنة الفضاء” في أواخر عام 2019، عندما تلقت شركة فضاء روسية رسالة بريد إلكتروني احتيالية تحتوي على برامج ضارة لم تكن معروفة من قبل. وعلى مدى العامين التاليين، حدد خبراء “بوزيتف تكنولوجيز” أربع شركات أخرى معرضة للخطر (اثنتان منها مملوكة للدولة) تم استهدافها من قبل مجرمي المجموعة. ويواصل “مركز خبراء الأمن” جهود رصد التهديدات والتصدي لها، بما في ذلك التهديدات التي تمثلها مجموعة “قراصنة الفضاء” الخبيثة.
ويُمكن لحلول ومنتجات “بوزيتف تكنولوجيز” مثل منصة كشف الهجمات الشبكية (PT NAD) التي تعمل على تحليل حركة المرور السلوكية، ونظام صندوق الحماية (PT Sandbox)، أن تساعد في الكشف عن الأنشطة الخبيثة التي تقوم بها مجموعة “قراصنة الفضاء”، والمساهمة في منع الهجمات، وتحديد الأجهزة المضيفة المصابة في الشبكة. كما تحتوي الإصدارات الحديثة من هذه الأدوات بالفعل على الخبرات والتكنولوجيا المطلوبة، حيث يقوم نظام صندوق الحماية على سبيل المثال بالكشف عن البرامج الضارة المستخدمة من قبل مجموعة “قراصنة الفضاء” وتحديد أدوات القرصنة الإضافية المسجلة خلال التحقيقات. وبالإضافة إلى ذلك، يمكن لنظام صندوق الحماية أيضاً الكشف عن البرامج الضارة باستخدام مزيج من التحليلات السلوكية، وقواعد يارا وقواعد الشبكة الخاصة بـ “مركز خبراء الأمن”، وعلى أساس خوارزميات التعلم الآلي.
وتستخدم منصة “بوزيتف تكنولوجيز” للكشف عن الهجمات الشبكية (PT NAD) قوائم السمعة مع أسماء النطاقات وعناوين بروتوكول الإنترنت (IP) التي تنتمي للمجموعات الإجرامية عند القيام بعمليات التحليل، حيث تساعد قواعد الكشف عن التهديدات الخاصة على اكتشاف الأنشطة الخلفية الخبيثة والبرامج الضارة على الأجهزة المصابة داخل الشبكة المحمية.
[1] تشير العديد من المؤشرات إلى ارتباط مطور هذه الأدوات بالصين. ولا يعرف ما إذا كان المطور هو عضو في هذه المجموعة. ومع ذلك، فإن هذه المجموعة الخبيثة تستخدم تقنيات اعتادت المجموعات الصينية على استخدامها (مثل مجموعة APT41 على سبيل المثال)، واستضافة الخوادم على البنية التحتية لشركة “شوبا”، أو استخدام ملفات محددة لشن هجمات (dll-hijacking).